在过去的三个小时里,我一直坐在办公桌前,准备用棒球棒砸碎我的戴尔 R710。在安装了 LAPS 的所有功能并运行导入模块 AdmPwd.PS 后,我似乎无法让 AD 进行架构更新。我属于一个属于 Schema Admins 成员的组,我甚至尝试过直接添加我自己。注册 schmmgmt.dll 也不起作用。当我从我的工作站或以 DC 管理员身份运行时,我得到:
Update-admPwdADSchema : An operation error occurred.
At line:1 char:1
+ Update-admPwdADSchema
+ ~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Update-AdmPwdADSchema], DirectoryOperationException
+ FullyQualifiedErrorId : System.DirectoryServices.Protocols.DirectoryOperationException,AdmPwd.PS.UpdateADSchema
如果我在不以 DC 管理员身份运行的情况下在 powershell 中运行命令,我会收到以下错误:
Update-AdmPwdADSchema : The user has insufficient access rights.
At line:1 char:1
+ Update-AdmPwdADSchema
+ ~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Update-AdmPwdADSchema], DirectoryOperationException
+ FullyQualifiedErrorId : System.DirectoryServices.Protocols.DirectoryOperationException,AdmPwd.PS.UpdateADSchema
我在谷歌上找不到任何真正有用的信息,我在事件日志中唯一能找到的是相同的错误重复出现,系统信息并没有真正增加什么。我在 Win Server 2019 上运行我的 DC,在我的工作站上运行 Win 10 Pro。
答案1
这个问题可能已经解决了。我之所以发表评论是因为我在 WS2012 R2 上遇到了完全相同的问题。
必须将用户帐户添加到 Schema Admins 组和 Enterprise Admins 组。不要忘记注销以更新权限。
答案2
在“regsvr32.exe AdmPwd.dll”之后,即使其加载失败,Update-AdmPwdADSchema 命令仍有效。
答案3
基于这个有用的 Reddit 帖子(https://www.reddit.com/r/activedirectory/comments/gqhit2/updateadmpwdadschema_an_operation_error_occurred/)我能够自己解决这个问题。
该建议似乎是:
- 确保已通过 MSI 或
regsvr32.exe AdmPwd.dll
以下方式在 DC 或 PAW(特权访问工作站,用于 AD 管理的特殊工作站)上安装了 LAPS 模块:重新启动 - 从提升的 Powershell 窗口运行命令(标题栏中应显示“管理员:Windows Powershell”)
- 确保运行该命令的帐户是架构管理员(可能还需要域管理员和企业管理员)。如果您刚刚将这些组添加到帐户,请注销并重新登录。
- 以下是我解决问题的方法:使用 验证域中的复制是否正常运行
repadmin /showrepl
。我的两个 DC 中的一个已经关闭了近 2 个月。启动 DC 并等待复制后,命令成功完成。